SecUpdate: Jsou venku! Hackeři prolomili neprolomitelná hesla záletníků
Hesla nevěrníků bylo to poslední, co zůstávalo před veřejností skryto v podobě hashů, provedených pomocí Bcryptu. Skupina odborníků říkající si CynoSure Prime se ale postarala o to, že u 11 miliónů hesel už tomu tak není.
Jak je to možné – nedávno jsme přece psali, že zjištění všech hesel by trvalo staletí!? Hesla chránil "pomalý" hashovací algoritmus Bcrypt, proti kterému by provedení brute force útoku trvalo opravdu velmi dlouho. Jelikož ale unikl i zdrojový kód stránek, odborníci se pustili do analýzy a našli v něm díry. Ty se konkrétně nacházely v automatickém přihlašování na web. K tomu sloužily tokeny uložené v proměnné $loginkey
, které při svém generování využívaly hashovací funkci MD5. Nebylo tomu tak ale vždy. Následující změna v Gitu ze 14.6.2012 ukazuje přidání bcryptu (funkce encryptPassword) do generování proměnné $loginkey
.
$username = !empty($Values['username_suggest']) ? $Values['username_suggest'] : $Values['username'];
- $password = User::encryptPassword($Values['password']);
+ $password = $Values['password'];
$loginkey = md5(strtolower($username).'::'.strtolower($password));
Díky tomu bylo možné získat hesla k účtům, které byly vytvořeny před zmíněným datem.
Následně byl nalezen ještě jeden postup generování hodnoty $loginkey
, který využíval uživatelské jméno, heslo, email (to vše převedené na malá písmena) a pevně zadanou sůl.md5(lc($username).”::”.lc($pass).”:”.lc($email).”:73@^bhhs&#@&^@8@*$”)
Výstupem z prolomení MD5 hashů ale ještě nemusela být původní hesla, jelikož se zadané hodnoty od uživatele převáděly na malá písmena. Posledním krokem tedy bylo u každého hesla otestování všech kombinací malých a velkých písmen a použití té varianty, u které odpovídaly Bcrypt hashe. Takto bylo zatím získáno přibližně 11,2 milionu hesel. V CynoSure Prime dále pracují na zbývajících 4 milionech, čímž dosáhnou hranice 15 miliónů odpovídající počtu registrovaných uživatelů v červnu 2012.
Joshua Drake, nálezce zranitelnosti Stagefright, zveřejnil kód exploitu
Už je to déle než měsíc, co jsme psali o zranitelnosti v multimediální knihovně libstagefright. Opravu této chyby, která zasáhla řádově 950 milionů zařízení, řešil Google od přelomu dubna a května tohoto roku, kdy společnost Zimperium chybu nahlásila. Ta chtěla zveřejnit postup zneužití této chyby již na konferenci Black Hat USA, kde Joshua Drake přednášel. Nakonec ale kvůli distribuci oprav termín ještě posunuli a my jsme museli čekat až do teď.
Ukázka zneužití zranitelnosti Stagefright bez nutnosti interakce uživatele
Na blogu společnosti Zimperium tak můžeme najít skript v pythonu, který mohou využít administrátoři, bezpečnostní experti a pentesteři ke zjištění, zda je systém na testovaném zařízení stále zranitelný nebo ne. Dle vyjádření společnosti ale není exploit obecný a 100% spolehlivý. Úspěšně otestován byl pouze na zařízeních Nexus se systémem Android verze 4.0.4.
Další podvod na zákazníky České spořitelny
Útočníci si na zákazníky České spořitelny vymysleli nový způsob, jak z nich vylákat potvrzovací SMS kód. Využili k tomu aktuální obchodní sdělení týkající se hypoték.
Ukázka podvodné stránky
Podvodná stránka se ale nachází na jiné webové adrese a potvrzovací SMS zpráva bude obsahovat text, který se k obchodnímu sdělení vůbec nevztahuje. Na základě těchto postřehů by měl uživatel podvodnou stránku odhalit. Česká spořitelna také varuje, že v obchodním sdělení nikdy nepožaduje po zákazníkovi potvrzení SMS kódem.
Microsoft vypustil opravy pro více než 50 zranitelností, z nichž byl velký počet kritický
V rámci zářijových záplat obdrželi uživatelé od Microsoftu pěknou nadílku. Z kritických problémů byla opravena chyba grafické komponenty (MS15-097) v MS Windows, Office a Lync, která umožňovala vzdálené spuštění kódu. Další 4 opravené zranitelnosti byly již veřejně známé a zneužívané. Jednalo se o možnost obejít ASLR ochranu (CVE-2015-2529), zranitelnost ve Windows Media Center umožňující vzdálené spuštění kódu (CVE-2015-2509), integer overflow v .NET frameworku (CVE-2015-2504), a chybu v práci s pamětí v prohlížečích Edge a Internet Explorer (CVE-2015-2542).
Máte externí disk Seagate s WiFi? Vypněte ho a aktualizujte firmware!
CERT při univerzitě Carnegie Mellon vydal varování upozorňující na tři zranitelnosti u bezdrátových disků Seagate. Konkrétně se jedná o modely:
Jednou ze zranitelností je existence nezadokumentované telnet služby, přes kterou je možné připojit se k disku s využitím uživatelského jména a hesla root. Tyto přístupové údaje jsou v zařízení zadány z výroby a uživatel je nemůže jednoduše změnit.
Bezdrátový disk Seagate Wireless Mobile Storage
Seagate již vydal opravený firmware verze 3.4.1.105 a všem majitelům těchto zařízení doporučuje ho co nejdříve aktualizovat. Novou verzi je možné stáhnout ze stránek společnosti.
Uživatelé jsou vydíráni fotkami, které pořídila aplikace pro přehrávání porna
Aplikace AdultPlayer nabízí svým uživatelům erotický materiál, ale zároveň pořizuje jejich snímky přední kamerou telefonu. Naštěstí není aplikace k dispozici v obchodě Google Play Store, nicméně oběti si ji stáhly a nainstalovaly přímo z webu.
Jak popisuje analýza společnosti Zscaler, aplikace po instalaci vyžaduje administrátorská oprávnění. Pokud uživatel aplikaci oprávnění schválí, zobrazí se mu zpráva o výkupném, které už se oběť nezbaví. Znemožňuje majiteli ovládat telefon a zobrazuje se i po jeho restartu. Pokud AdultPlayer zjistil, že má zařízení přední fotoaparát, uložil si snímek z doby, kdy uživatel aplikaci spouštěl. Tato fotka bude zobrazena v rámci žádosti o výkupné.
Stránka s žádostí o výkupné, na které bude zobrazena vaše fotografie
Výše výkupného je 500 amerických dolarů. Pokud jste ale ochotni vrátit se k továrnímu nastavení telefonu, je možné se aplikace zbavit zdarma. To by mělo být možné po nabootování do tzv. safe módu. Tam bude možné odebrat aplikaci administrátorská oprávnění a následně ji odinstalovat.
Díra ve webové verzi aplikace WhatsApp ohrožuje milióny uživatelů
Webová varianta WhatsApp Web umožňuje uživatelům populární aplikace přistupovat ke svým zprávám ze stolních počítačů. Bohužel ale také obsahovala chybu, která útočníkovi dovolí spustit libovolný kód na počítači uživatele.
Jak v článku popisuje výzkumník Kasif Dekel ze společnosti Check Point, zneužití tohoto problému je jednoduché. Stačí oběti odeslat vizitku (vCard) obsahující škodlivý kód. Vzhledem k tomu, že je možné upravit příponu vizitky, která se nijak nekontroluje, uživatel si může stáhnout útočný spustitelný soubor. Jelikož si stále myslí, že se jedná o vizitku, otevře ho a spustí tak kód útočníka. Ten může například dál šířit a instalovat malware, ransomware nebo trojské koně.
Ukázka komunikace obsahující škodlivou vizitku uživatele, u které není možné poznat, že se jedná o soubor *.BAT
Tímto jednoduchým trikem mohli útočníci ohrozit milióny uživatelů. Naštěstí byl koncem srpna nahlášen společnosti WhatsApp, která ho rychle opravila a ještě před koncem měsíce vydala opravenou webovou verzi klienta.
Další zprávy ze světa IT bezpečnosti v bodech:
- Hacker měl přístup k informacím o chybách ve Firefoxu déle než rok
- Kaspersky opravil kritickou zranitelnost ve svých antivirových produktech
- Doména společnosti Ebay obsahovala XSS zranitelnost umožňující převzít účet uživatele
- Adobe opravil dvě kritické zranitelnosti v přehrávači Shockwave
- Synology vydal opravu závažné chyby v softwaru NAS disků
- SAP vydal opravy 20 zranitelností
- Twitter a RESTful API moduly Drupalu opravili chyby umožňující obejít autentizaci
- Aplikace z Google Play vás automaticky zaregistruje k placeným službám